NavigationUndService

Inhalt

"Informationssicherheit stärken – Vertrauen in die Zukunft schaffen"

Datum
14.05.2013

Es gilt das gesprochene Wort.

Sehr geehrte Damen und Herren, 

wir leben im Cyberzeitalter. In Zahlen gesprochen:

  • Derzeit sind rund 2 Mrd. Menschen global vernetzt. Zahlreiche Schwellenländer drängen auf eine Anbindung. In Kürze werden 3 Mrd. Menschen online sein, und auch damit ist nur ein weiterer Meilenstein und nicht etwa das Ende der Entwicklung beschrieben. 
  • In Deutschland verfügen nach Angaben des BITKOM inzwischen 78 Prozent der Haushalte über einen Internetzugang, zudem ermöglichen Smartphones und Tablets vielen Nutzern den permanenten Netzzugang. 

Und auch hier ist der Trend ungebrochen: Wir erwarten eine Verdoppelung der Anzahl heutiger Geräte mit Internetanbindung innerhalb der nächsten drei Jahre.

Die Schattenseite: Einem deutschen Großunternehmen entstehen pro Jahr im Schnitt 4,8 Mio. € Kosten durch Cyber-Kriminalität. 

Weltweit sind aktuell ca. 100 Mio. Schadprogramme aktiv.

Gleichwohl, es ist schon faszinierend: Zumindest die Älteren unter uns konnten in den letzten Jahrzehnten persönlich mehrere technologische Entwicklungssprünge miterleben, von denen jeder einzelne so große Veränderungen bewirkt hat, wie die Erfindung des Buchdrucks. – Die massenhafte Verbreitung des persönlichen Computers, die Etablierung des Internets und der Siegeszug der mobilen Kommunikation. 

Und der nächste Schritt liegt vor uns - Deutschland steht am Beginn einer neuen Digitalisierungsstufe von gesamtgesellschaftlicher Dimension. Lassen Sie mich dies an einigen Beispielen verdeutlichen. Chancen und Herausforderungen liegen dabei dicht beieinander:

  • Für unsere zukünftige Energieversorgung brauchen wir flächendeckend ein digitalisiertes Elektrizitätsversorgungsnetz als neue zentrale Infrastruktur.

Dabei ist angesichts der existenziellen Bedeutung der Energienetze für die allgemeine Daseinsvorsorge der Einsatz ebenfalls digitaler Sicherheitsmechanismen unverzichtbar. Diese Mechanismen müssen belastbar, hochverfügbar und für den jeweiligen Einsatzzweck skalierbar sein. Nur so können wir die Energieversorgung Deutschlands nachhaltig und lageangemessen auch im internationalen Verbund für die kommenden Jahrzehnte gewährleisten. 

In der Gesundheitsfürsorge stehen wir vor einer Vernetzung der medizinischen Geräte untereinander und der Kliniknetze. Dies wird eine Behandlung über größere Entfernungen hinweg ermöglichen – was gerade für den ländlichen Raum eine enorme Verbesserung der Gesundheitsversorgung bedeutet.

Allerdings sind IT-Sicherheitsmechanismen sowohl in den Geräten als auch in der Netzanbindung bislang nur rudimentär vorhanden und bieten damit gefährliche Angriffspunkte. Das kann im Extremfall Leib und Leben gefährden und muss daher dringend geändert werden. 

In der industriellen Fertigung führt die Digitalisierung zur unternehmensübergreifenden Automatisierung und Vernetzung - vom Rohstoff über die verschiedenen Fertigungsprozesse hin zum Endprodukt.

uch hier müssen wir eine robuste Vorsorge treffen, denn Angriffe können unterschiedliche Schadensbilder zur Folge haben. Von wirtschaftlichen bis hin zu massiven ökologischen Konsequenzen. 

Im Bereich des Verkehrs und der Logistik ergeben sich durch die Digitalisierung neue Chancen der Verkehrsflusskontrolle und der Notfalldienste. Sogar eine autonome Fahrzeugführung ist kein Beispiel aus der fernen Zukunft mehr.

Wie wichtig eine Absicherung der digitalen Architekturen gerade auch in diesem Bereich ist, muss ich vor dem hiesigen Auditorium wohl nicht weiter ausführen. 

Im Städtebau sind neue Gebäudesteuerungssysteme für Heizung, Belüftung, Energieversorgung, Beleuchtung und die Brand- und Notfallsysteme schon heute Realität. Viele von ihnen sind sogar schon derart untereinander zu komplexen Systemverbünden vernetzt, dass es nur noch ein kleiner Schritt zur Vernetzung ganzer Städte ist.

Das, was wir heute so schön als „Smart City“ bezeichnen, führt aber in letzter Konsequenz dazu, dass solche Systemverbünde zu einer kumulativ kritischen Infrastruktur heranwachsen. Sie werden dadurch auch besonders schützenswert. 

Und schließlich gewinnt die vernetzte Mobilität, deren elementare Grundvoraussetzung die ständige Erreichbarkeit von Daten und Diensten über lückenlose drahtlose Breitbandanschlüsse ist, an zunehmender Bedeutung.

Die dabei entstehenden Wechselwirkungen zwischen Privatem und Beruf – z.B. beim flexiblen Einsatz beidseitig genutzter Infrastrukturen und Komponenten – eröffnen einerseits erhebliche Innovationschancen und Potenziale, erfordern aber auch andererseits höchste Aufmerksamkeit hinsichtlich möglicher Sicherheitslücken. Deshalb werden wir neue ganzheitliche und übergreifende Sicherheitskonzepte brauchen. Dabei ist die technische Umsetzung die eine Sache. Wichtig ist aber auch – und hier sehe ich die größere Herausforderung – dass wir eine Akzeptanz in der Gesellschaft dafür schaffen, dass Daten gesichert werden müssen, auch und gerade, wenn sich berufliches und privates immer weniger trennen lässt.

Sehr geehrte Damen und Herren,

laut einer Studie des Deutschen Instituts für Vertrauen und Sicherheit im Internet (kurz: DIVSI), gehen die sogenannten „Entscheider“ unseres Landes mehrheitlich davon aus, dass die Unterscheidung von online und offline bald nicht mehr existieren wird. Sie sind überzeugt davon, dass es in der Zukunft gar nicht mehr möglich sein wird, komplett offline zu sein. Diesem liegen zwei Beobachtungen zu Grunde: 

  • Die Technologien werden bei aller Komplexität zunehmend einfacher und anwenderfreundlicher. Dadurch erfordern sie immer weniger digitales Grundlagenwissen, Technikverständnis oder feinmotorische Fähigkeiten – es gibt also immer weniger Menschen, die schon per se von einer Nutzung digitaler Geräte ausgeschlossen sind.
  • Und zweitens: Wir werden generell weniger „ins Internet gehen“, weil ohnehin immer mehr Prozesse des Alltags online gesteuert werden. Digitale Gräben werden somit versanden, da wir alle in eine Online-Welt hineinwachsen, teilweise wahrscheinlich, ohne uns dessen überhaupt bewusst zu sein.    

Von dieser Digitalisierung gehen enorme Chancen für den Wirtschaftsstandort Deutschland und die deutsche Gesellschaft aus.

Gleichzeitig beherrscht aber kaum noch jemand die Komplexität der vernetzten Technologien.

Außerdem suchen Angreifer gezielt nach Methoden, um in die digitale Steuerung eingreifen zu können und ganze Infrastrukturen per Mausklick zusammenbrechen zu lassen.

Deshalb sage ich: Die gesamtgesellschaftliche Digitalisierung von Wirtschaft, Staat und Gesellschaft ist ein positiver Prozess. Wir sollten und wir wollen die damit verbundenen Chancen nutzen. Die Digitalisierung erfordert allerdings die frühzeitige Einbeziehung von Sicherheitsaspekten in die Architekturen von Netzen und Diensten. Das ist aber nicht neu für uns: Deutschland hat seit Beginn der Industrialisierung gute Erfahrungen damit gemacht, durch staatliche Begleitung der Veränderungsprozesse - z.B. durch gesetzliche Anforderungen oder allgemeinverbindliche Standards - für Sicherheit und damit für Vertrauen zu sorgen. 

Das Bundesinnenministerium hat deshalb in den letzten Monaten den Entwurf eines IT-Sicherheitsgesetzes erarbeitet, der zurzeit mit den Ressorts, den Ländern und Verbänden abgestimmt wird. 

Dabei gehen wir von drei Schwerpunkten zur Verbesserung der IT-Sicherheit aus:

  • Die Betreiber kritischer Infrastrukturen, die aufgrund der möglichen Folgen eines Ausfalls oder einer Beeinträchtigung naturgemäß eine besondere gesamtgesellschaftliche Verantwortung haben, sollen zu einer Verbesserung des Schutzes der von ihnen eingesetzten Informationstechnik und zur Verbesserung ihrer Kommunikation mit dem Staat verpflichtet werden.
  • Die Telekommunikations- und Telemediendiensteanbieter, die eine Schlüsselrolle für die Sicherheit des Cyberraums haben, sollen stärker als bisher in die Verantwortung genommen und
  • das Bundesamt für Sicherheit in der Informationstechnik soll in seinen Aufgaben und Kompetenzen gestärkt werden.

Mir ist bewusst, dass Teile der deutschen Wirtschaft lieber weiterhin auf freiwillige Kooperation gesetzt hätten. Ich bin aber der Überzeugung, dass wir einen gesetzlichen Rahmen für mehr Kooperation und freiwillige Initiativen brauchen. Allein mit freiwilligen Maßnahmen sind wir in der Vergangenheit hinter unseren Zielen zurückgeblieben: 

  • Denn aus Gesprächen mit Vorständen und Verbänden aus den relevanten KRITIS-Sektoren wissen wir, dass das Schutzniveau sehr unterschiedlich ist und große Lücken insbesondere in bisher nicht regulierten Branchen bestehen. Wir können uns hier aber keine Schwachstellen leisten. Beinahe täglich erreichen uns Nachrichten über Cyber-Angriffe – auch auf Kritische Infrastrukturen. Exemplarisch hierfür steht der Fall des weltweit größten Öl-Produzenten „Saudi Aramco“ aus dem letzten Jahr, bei dem 30.000 Rechner des Unternehmens mit einem Virus infiziert wurden und ausgetauscht werden mussten. Ich denke aber auch an die trotz vieler Bemühungen immer noch nicht abgestellten Angriffe auf das US-Finanzsystem.

Angesichts dieser Bedrohungslage und aufgrund der ständig wachsenden Abhängigkeit von der IT sind aus meiner Sicht widerstandsfähige IT-Systeme und Netze flächendeckend für alle wichtigen Infrastrukturbereiche notwendig. 

Nach unserem Vorschlag soll das Maß der Selbstregulierung hierbei so hoch wie möglich sein. So sollen die geforderten Mindeststandards hinsichtlich der IT-Sicherheit kritischer Infrastrukturen maßgeblich von den betroffenen Verbänden und Betreibern selbst als branchenspezifische Standards entwickelt und anschließend staatlich anerkannt werden. 

Ferner soll für alle Beteiligten ein Mehrwert entstehen. Die geforderte Meldepflicht bei erheblichen IT-Sicherheitsvorfällen soll daher insbesondere dazu dienen, ein valides Lagebild zu erstellen. Damit können wir die Betreiber kritischer Infrastrukturen ihrerseits mit den maßgeblichen - aus den Meldungen generierten - Informationen versorgen und somit besser aufstellen. Es geht um eine gegenseitige Information auf der Basis beiderseitigen Vertrauens. 

Kooperation aller Beteiligten meint aber auch, dass diejenigen, die für die Kerninfrastruktur Internet naturgemäß eine besondere Verantwortung haben, dieser Verantwortung gerecht werden und ihrerseits dazu beitragen, das Internet sicher und verfügbar zu halten. 

Unser Vorschlag zu gesetzlichen Regelungen enthält daher spezifische Inhalte in die Richtung der Provider. 

Insbesondere ist es erforderlich, dass sie ihre Nutzer in die Lage versetzen, mögliche Störungen, die von den Nutzersystemen ausgehen, zu erkennen und soweit möglich auch zu beseitigen. 

Um dieses Ziel zu erreichen, sollen die Provider ihre Nutzer über bekannt gewordene Störungen unterrichten und den Nutzern, soweit möglich und zumutbar, Hinweise zur Beseitigung der Störungen zur Verfügung stellen. 

Wegen der zunehmenden Verbreitung von Schadsoftware über das bloße Ansurfen von Webseiten (sog. drive-by exploit) müssen auch die professionellen Webseitenanbieter mehr für die Sicherheit des Gesamtsystems tun als bisher. 

Aus diesem Grund enthält der Vorschlag auch Vorgaben für die Anbieter, angemessene Maßnahmen zum Schutz gegen unerlaubte Zugriffe zu treffen.

Schließlich geht es aber auch darum, staatlicherseits unsere Angebote zu stärken: 

  • Das Bundesamt für Sicherheit in der Informationstechnik erhält die Aufgabe, zukünftig die KRITIS-Betreiber auf deren Ersuchen hin bei der Sicherung ihrer Informationstechnik zu beraten und zu unterstützen. Wir hoffen, dass die Wirtschaft von diesem Angebot intensiven Gebrauch machen und die Fachkompetenz des BSI in Anspruch nehmen wird. Die Synergieeffekte, die durch eine solche Zusammenarbeit entstehen können, wären sicherlich für beide Seiten von großem Nutzen.

Mit den eben geschilderten Überlegungen stehen wir übrigens nicht allein: Auch die EU Kommission fordert die Einhaltung von Mindestsicherheitsstandards und die Pflicht zur Meldung von IT-Sicherheitsvor-fällen an die Behörden.  

Der Richtlinienvorschlag zur „Netzwerk- und Informationssicherheit“ (NIS) ergänzt den Entwurf einer Cyber-Sicherheitsstrategie der Kommission, der sich in wesentlichen Punkten mit der Cyber-Sicherheitsstrategie der Bundesregierung deckt. 

Wir begrüßen diese Aktivitäten ausdrücklich. Denn die strategische Bündelung von Cybersicherheitsaktivitäten auf EU-Ebene war überfällig. Damit folgen die EU-Kommission und der Europäische Auswärtige Dienst einer Vielzahl von Mitgliedstaaten, die in jüngster Vergangenheit nationale Cybersicherheitsstrategien verabschiedet haben. Die deutsche Strategie wurde im Übrigen bereits im Februar 2011 vom Bundeskabinett beschlossen. 

Sehr geehrte Damen und Herren,

gesetzliche Regelungen sind das Eine. Aber sie sind nur die Spitze des Eisbergs. Ich habe vorhin als Beispiel für meine These, dass Deutschland an der Schwelle einer neuartigen Digitalisierung steht, vernetzten Produktionsprozesse geschildert. Gemeint ist damit auch das, was man landläufig als „Industrie 4.0“ bezeichnet. Hier müssen die Gestalter der neuen Technologien schon von Beginn an den Aspekt der IT-Sicherheit im Blick behalten. D.h.:

  • Wir müssen bei der Abstimmung von Standards für Industrie 4.0 von Anfang an die Erarbeitung und Abstimmung von IT-Sicherheits-standards bzw. Mindestanforderungen an die IT-Sicherheit einbeziehen.
  • Wir müssen das einzigartige mittelständische Know How in Deutschland auch vor eSpionage angemessen schützen. Immer mehr Unternehmen der mittelständisch geprägten Branchen machen die IT-Sicherheit zur Chefsache. Das ist gut so! Denn IT-Sicherheit ist nicht allein eine Aufgabe von IT-Technikern, sondern eine unternehmerische Aufgabe.
  • Wir müssen bei einer ehrlichen Risikoanalyse die Sicherheitsanforderungen an die Trägerinfrastruktur herausarbeiten. Sofern nicht eine vom Internet entkoppelte Infrastruktur umgesetzt werden soll, müssen Vorgaben oder Verträge ein ausreichendes Sicherheitsniveau garantieren.
  • Wie auch bei den Betreibern Kritischer Infrastrukturen ist eine enge Zusammenarbeit der Industrie-4.0-Akteure mit dem BSI erforderlich. Dies gilt sowohl für die Abstimmung von Standards als auch für den Austausch von Lageinformationen. Sollte die Digitalisierung der Produktionsprozesse eine derart herausragende Stellung erhalten, wie es sich derzeit abzeichnet, ist die Integration in das Nationale IT-Lagebild unverzichtbar.

Sehr geehrte Damen und Herren,

Sie sehen, die Digitalisierung stellt uns vor große Herausforderungen. Diesen wird sich zumindest im beruflichen Bereich schon bald niemand mehr entziehen können. Auch dort, wo heute noch gewisse Berührungsängste mit dem Thema IT bestehen, wird man sich damit beschäftigen und vor allem für die Sicherung der eigenen Systeme sorgen müssen. 

Neue Anforderungen an die IT-Sicherheit eröffnen aber auch neue Chancen. Denn ohne Innovationen werden wir nicht auskommen. Das bietet aber auch die Möglichkeit, sich im IT-Sicherheitsbereich zum Marktführer zu entwickeln. 

Hierfür ist Deutschland gut aufgestellt. Das Vertrauen – auch ausländischer Investoren - in unser Land ist groß. Das ist gut, birgt aber auch ein Risiko: 

Wir beobachten seit einiger Zeit im Bereich der IT- Produkthersteller und –Dienstleister eine starke Konzentration. Deutsche und europäische IT-Unternehmen mit ausgeprägter Expertise sind ein begehrtes Ziel von größeren Unternehmen und auch Investoren, die allerdings oft ihren Sitz im Ausland haben. Uns als Bunderegierung macht das Sorgen, weil die hiesige technische Kompetenz und damit nationale technologische Souveränität verlorengeht und wir zunehmend auf ausländische Anbieter angewiesen sind. Das ist in vielen Bereichen unproblematisch, aber im Bereich der öffentlichen Verwaltung oder auch der Kritischen Infrastrukturen – zumindest in besonders sensiblen Bereichen – führt dies zu Bedenken. Einfache Lösungen lassen sich hier nicht finden.

Allerdings: Unser Standortvorteil ist eine hohe Infrastrukturrobustheit. Den qualitativ hochwertigen Versorgungsstandard müssen wir in allen Sektoren – und v.a. in den Energie- und IKT-Bereichen – erhalten und ausbauen, um Investoren anzulocken und bestehende Unternehmen in Deutschland zu halten. Denn dafür ist unser Land auch im Ausland bekannt: demokratische Strukturen mit einer robusten, verlässlichen Versorgung.

Klar ist aber auch: ein angemessen hohes Maß an IT-Sicherheit gibt es nicht zum Nulltarif. Die notwendigen Investitionen müssen getätigt werden. Das gilt für uns als Staat, sowohl auf Bundes- wie auch auf Landes- und auf kommunaler Ebene, und auch für Industrie und Wirtschaft. Hier stehen wir alle in der Pflicht, angemessene Vorkehrungen zu treffen.

V.a. müssen Staat und Wirtschaft bei der Kooperation stärker risikobasiert arbeiten. Die Abstimmung notwendiger Maßnahmen wird erleichtert, wenn die Annahmen bei allen beteiligten Parteien auf den gleichen Bedrohungskenntnissen und Risikoeinschätzungen fußen.

Und ein letzter Bereich, den ich bei meinen heutigen Ausführungen in den Hintergrund gestellt habe: Die nationalen Regierungen werden gegenüber der Industrie in Bezug auf deren Globalisierung ein Stück weit aufgeholt haben. Die bereits angestoßenen Aktivitäten zur Abstimmung der Policy-Frameworks werden dazu führen, dass Mindestanforderungen bzw. anerkannte Standards über Grenzen hinweg weitgehend kompatibel sind – damit wird ein gesunder Wettbewerb, ein einheitlich hoher Sicherheitsstandard und die Compliance-Fähigkeit global agierender Unternehmen ermöglicht. 

Sehr geehrte Damen und Herren, 

das Thema dieses 13. Deutschen IT-Sicherheitskongresses „Informationssicherheit stärken – Vertrauen in die Zukunft schaffen“ würde noch viel Raum für weitere Ausführungen bieten. Ich möchte es aber zunächst dabei belassen, um meine Redezeit nicht über Gebühr auszudehnen. Der französische Dominikaner Lacordaire hat einmal gesagt: „Nach der Kunst der Rede ist die Kunst des Schweigens die größte Kunst der Welt.“ 

Insofern freue ich mich jetzt, schweigend den Worten von Herrn Dr. Kremer lauschen zu dürfen. 

Vielen Dank!